「ARMS應用安全」為企業業務安全保駕護航!
最近幾天對于很多開發者而言,隻能用争分奪秒與膽戰心驚來形容。而造成這一切的源頭,來自于被公布的 Apache Log4j2 遠端代碼執行漏洞(CNVD-2021-95914)。目前幾乎所有技術巨頭都在使用該開源元件,其危害将帶來一連串連鎖反應。據行業機構不完全統計,該漏洞影響 6w+ 流行開源軟體,影響 70% 以上的企業線上業務系統!漏洞波及面、危害程度均堪比 2017 年的讓數百萬台主機面臨被勒索病毒攻擊的風險的“永恒之藍”漏洞。
Apache Log4j RCE 漏洞造成如此大影響的原因,不僅在于其易于利用,更在于其巨大的潛在危害性。此次危機由 Lookup 功能引發,Log4j2 在預設情況下會開啟 Lookup 功能,提供給客戶另一種添加特殊值到日志中的方式。此功能中也包含了對于 JNDI 的 Lookup,但由于 Lookup 對于加載的 JNDI 内容未做任何限制,使得攻擊者可以通過 JNDI 注入實作遠端加載惡意類到應用中,進而造成 RCE。
據悉,Apache Log4j 2.x <= 2.14.1 版本均回會受到影響。可能的受影響應用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。直接應用了 Log4j-core 的依賴中,就包含了 SpringBoot、JBoss、Solr 等流行架構。漏洞幾乎影響所有使用 Log4j2 2.15.0 的使用者,包含 2.15.0-rc1 也已經有繞過手法流出。
此次 Log4j2 漏洞,作為一款日志架構,相比起記錄日志等類型的正常行為,進行指令注入、執行,本身就是明顯異常行為。
RASP 在預設規則下,會攔截掉所有因反序列、JNDI 注入導緻的指令執行、任意檔案讀取、惡意檔案上傳等危險行為。不同于傳統基于流量特征的防禦方式,RASP(Runtime Application Self-Protection)基于行為和應用運作時上下文,不會陷入特征窮舉并更加關注「正常基線」。即應用的正常使用行為有哪些,如果這個行為(如指令執行)不屬于該功能的正常操作,則會進行攔截。
此次漏洞,系 Log4j2 的 JNDI 功能造成的指令執行漏洞,處在 RASP 覆寫場景之中,無需新增規則也能預設防禦。是以,ARMS 應用安全基于阿裡雲 RASP 技術針對上述漏洞進行攻擊防護。
說明:阿裡雲 ARMS 探針版本容器服務應用 / EDAS 應用等自動更新場景 >=2.7.1.2,其他場景(手動更新)>=2.7.1.3。應用首次開啟接入ARMS應用安全,需要重新開機應用執行個體。
當受到 Log4j2 遠端代碼執行漏洞攻擊時,ARMS 應用安全會識别上報攻擊行為事件。還可通過配置告警規則,通過短信、釘釘、郵件等管道接收攻擊告警通知。預設防護模式為監控模式,建議觀察一段時間後調整防護設定為監控并阻斷,一旦發生攻擊行為可以直接阻斷,保障應用安全運作。
(1)排查應用是否引入了 Apache Log4j-core Jar 包,若存在依賴引入,且在受影響版本範圍内,則可能存在漏洞影響。請盡快更新 Apache Log4j2 所有相關應用到最新的 Log4j-2.15.0-rc2 版本。
位址:https://github.com/apache/Logging-Log4j2/releases/tag/Log4j-2.15.0-rc2
(2)更新已知受影響的應用及元件,如 spring-boot-starter-Log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink。
(3)可更新 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上,可以在一定程度上限制 JNDI 等漏洞利用方式。
(4)盡可能杜絕對外開放端口,加強應用的證書驗證管控,最大可能減少外網攻擊面。
(5)在外網開啟 Web 應用防火牆 +RASP 組合,采取行為和應用運作時上下文防禦政策。
(6)安全配置評估中,嚴格控制開源軟體安全,并自建内部安全版本庫,及時更新。
(7)建立多層檢測防禦體系,采用内網多層隔離,并全面提升威脅檢測能力。
點選此處,檢視更多應用安全相關資訊!